Comprendre les différentes composantes du SD-WAN SNS

Comprendre les paramètres de supervision

Méthode de détection et Port

Deux méthodes de détection de disponibilité et de performance des liens sont proposées sur les firewalls SNS :

  • La méthode de détection de type TCP Probe : cette méthode est basée sur des requêtes vers le port TCP utilisé par le serveur applicatif à joindre.
    La disponibilité et les performances de chaque lien sont ainsi testées en initiant une connexion au service TCP depuis le firewall vers l'objet cible en utilisant le port associé.
  • La méthode de détection de type ICMP : cette méthode est basée sur l'envoi régulier de paquets de type ICMP Request sur chaque lien.

Si plusieurs serveurs applicatifs sont utilisés pour un flux faisant l'objet de SLA SD-WAN, Stormshield recommande de positionner ces serveurs dans un objet réseau de type groupe et d'utiliser ce groupe comme cible des tests de disponibilité. Dans ce cas, les résultats des tests de disponibilité sont une moyenne des résultats des tests vers chacun des serveurs.

Délai d'expiration (s)

Il s'agit du délai maximal attendu pour une réponse à une tentative de connexion avec la méthode de détection choisie.

Au-delà de cette valeur, la tentative de connexion est considérée comme un échec et le nombre de tentatives s'incrémente d'une unité, jusqu'à atteindre le nombre d'échecs avant de déclarer que l'objet cible est injoignable ou que le lien est dégradé (si des seuils SLA sont configurés).

Intervalle de tests (s)

Il s'agit du laps de temps qui s'écoule entre deux tentatives de connexion.

Échecs avant dégradation

Il s'agit du nombre maximal de tentatives de connexion échouées avant de déclarer que l'objet cible est injoignable ou que le lien est dégradé (si des seuils SLA sont configurés).

Comprendre les métriques du SLA SD-WAN

La latence (ms)

La notion de latence SD-WAN sur les firewalls SNS représente le temps écoulé entre l'envoi d'un paquet et la réception d'une réponse à celui-ci. Il s'agit donc réellement d'une notion de RTT (round-trip time)
Ce paramètre est très dépendant du type de flux et des fournisseurs d'accès.
C'est le paramètre Fréquence (s) qui détermine le temps écoulé entre deux mesures de latence.
La latence affichée dans le module de supervision temps réel du SD-WAN correspond à la dernière valeur de latence mesurée pour chaque passerelle.

La gigue (ms)

La gigue représente la variation de la latence au cours du temps.
Elle est calculée par rapport à toutes les valeurs de latence mesurée au cours des 10 dernières minutes.
La valeur affichée dans le module de supervision temps réel du SD-WAN correspond donc à une moyenne de la gigue au cours des 10 dernières minutes.

Taux de perte de paquets (%)

Il s'agit du ratio entre le nombre de requêtes de connexion émises et le nombre de réponses reçues.
Sur un firewall SNS, ce pourcentage toléré est configurable au dixième près.
Il est calculé par rapport à tous les paquets perdus lors des tests de connexions sur les 10 dernières minutes.

La valeur affichée dans le module de supervision temps réel du SD-WAN correspond donc à une moyenne du taux de perte de paquets au cours des 10 dernières minutes.

Taux d'indisponibilité

Il s'agit du ratio entre le temps où une passerelle est disponible et le temps pendant lequel elle a été inaccessible.
Ce paramètre n'est pas un seuil SD-WAN à proprement parler : il permet principalement d'afficher des statistiques au sujet de la disponibilité des passerelles.
Il n'est donc pas pertinent de renseigner une valeur maximale pour ce paramètre.

La valeur affichée dans le module de supervision temps réel du SD-WAN représente une moyenne du taux d'indisponibilité au cours des 10 dernières minutes.

Évaluer les valeurs à appliquer à chaque métrique

Appliquer directement des seuils à un objet utilisé dans une politique de filtrage en production peut se révéler fastidieux et improductif (bascules régulières et injustifiées des flux sur les différents liens).

Pour évaluer les valeurs à appliquer à chaque métrique sans perturber la production, Stormshield vous suggère d'utiliser la méthode suivante :

  1. Créer un objet routeur de test, sur lequel sont positionnées des valeurs de métriques conseillées et recueillies auprès de vos fournisseurs d'accès et de vos fournisseurs de solutions logicielles (VoIP, flux métier...).
  2. Utiliser cet objet routeur dans une règle de filtrage neutre, placée en dernière position de la politique de sécurité (avant l'éventuelle règle de deny all), afin de déclencher la supervision du routeur, de ses passerelles et d'observer les comportements (changements de liens) liés aux valeurs des différentes métriques. Pour créer cette règle, vous pouvez vous référer à la partie Créer la règle de filtrage pour les flux VoIP.
  3. Affiner ces valeurs jusqu'à obtenir le comportement souhaité vis à vis du flux considéré.

Ainsi, le changement des valeurs des métriques ne présente aucun impact sur les flux de production et permet d'affiner sereinement les valeurs avant de les adopter dans la règle de filtrage concernant le flux en production.

Lors de l'observation des valeurs relevées pour les différentes métriques (étapes 2 et 3), notez que les données affichées dans les graphes de supervision SD-WAN de l'interface Web d'administration SNS sont stockées dans une base de données locales et sont donc agrégées régulièrement afin de limiter l'espace disque utilisé.

Il est donc recommandé d'utiliser une solution de supervision basée sur SNMP (de type Zabbix, Centreon...) et sur la MIB STORMSHIELD-ROUTE-MIB v4.3.x, téléchargeable depuis le menu Téléchargements de Mystormshield, afin d'observer les valeurs en temps réel des différentes métriques et de stocker ces relevés sur de plus longues périodes pour une meilleure mise au point des valeurs appropriées.